Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en dispositivos ZyXEL (CVE-2019-7391)
Fecha de publicación:
21/03/2019
Idioma:
Español
Los dispositivos ZyXEL VMG3312-B10B DSL-491HNU-B1B v2 permiten Cross-Site Request Forgery (CSRF) en login/login-page.cgi.
Gravedad CVSS v3.1: ALTA
Última modificación:
07/11/2023

Vulnerabilidad en OpenText Documentum Webtop (CVE-2019-7416)
Fecha de publicación:
21/03/2019
Idioma:
Español
Existe Cross-Site Scripting (XSS) y/o una redirección de URL del lado del cliente en OpenText Documentum Webtop 5.3 SP2. El parámetro startat en "/webtop/help/en/default.htm" es vulnerable.
Gravedad CVSS v3.1: MEDIA
Última modificación:
22/03/2019

Vulnerabilidad en SAMSUNG X7400GX SyncThru Web Service (CVE-2019-7420)
Fecha de publicación:
21/03/2019
Idioma:
Español
Existe Cross-Site Scripting (XSS) en SAMSUNG X7400GX SyncThru Web Service V6.A6.25 V11.01.05.25_08-21-2015 en "/sws.application/information/networkinformationView.sws" en el parámetro tabName.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2019

Vulnerabilidad en SAMSUNG X7400GX SyncThru Web Service (CVE-2019-7419)
Fecha de publicación:
21/03/2019
Idioma:
Español
Existe Cross-Site Scripting (XSS) en SAMSUNG X7400GX SyncThru Web Service V6.A6.25 V11.01.05.25_08-21-2015 en "/sws/leftmenu.sws" en múltiples parámetros: ruiFw_id, ruiFw_pid y ruiFw_title.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2019

Vulnerabilidad en SAMSUNG X7400GX SyncThru Web Service (CVE-2019-7418)
Fecha de publicación:
21/03/2019
Idioma:
Español
Existe Cross-Site Scripting (XSS) en SAMSUNG X7400GX SyncThru Web Service V6.A6.25 V11.01.05.25_08-21-2015 en "/sws/swsAlert.sws" en múltiples parámetros: flag, frame, func y Nfunc.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2019

Vulnerabilidad en Ericsson Active Library Explorer (CVE-2019-7417)
Fecha de publicación:
21/03/2019
Idioma:
Español
Existe Cross-Site Scripting (XSS) en Ericsson Active Library Explorer (ALEX) 14.3 en múltiples parámetros en el servlet "/cgi-bin/alexserv", tal y como queda demostrado con los parámetros DB, FN, fn o id.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2019

Vulnerabilidad en el componente Gecko de KaiOS (CVE-2019-7386)
Fecha de publicación:
21/03/2019
Idioma:
Español
Se ha descubierto un problema de denegación de servicio (DoS) en el componente Gecko de KaiOS 2.5 10.05 (plataforma 48.0.a2) en dispositivos Nokia 8810 4G. Cuando un sitio web manipulado se visita con el navegador interno, el proceso Gecko se cierra inesperadamente con un segfault. Si se explota con éxito, podría conducir a la ejecución remota de código en el dispositivo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/08/2020

Vulnerabilidad en InvoicePlane (CVE-2019-7223)
Fecha de publicación:
21/03/2019
Idioma:
Español
InvoicePlane 1.5 tiene Cross-Site Scripting (XSS) persistente mediante el parámetro invoice_password en index.php/invoices/ajax/save. Esto también se conoce como el campo "PDF password" de la opción "Create Invoice". La carga útil XSS se renderiza en un URI index.php/invoices/view/##. NOTA: esta vulnerabilidad es diferente de CVE-2018-12255.
Gravedad CVSS v3.1: MEDIA
Última modificación:
25/03/2019

Vulnerabilidad en el plugin WP Support Plus Responsive Ticket System
Fecha de publicación:
21/03/2019
Idioma:
Español
Una vulnerabilidad de Cross-Site Scripting (XSS) persistente en el módulo submit_ticket.php en el plugin WP Support Plus Responsive Ticket System 9.1.1 para WordPress permite que los atacantes remotos inyecten scripts web o HTML arbitrarios mediante el parámetro subject en wp-content/plugins/wp-support-plus-responsive-ticket-system/includes/ajax/submit_ticket.php.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/03/2019

Vulnerabilidad en productos Raisecom (CVE-2019-7385)
Fecha de publicación:
21/03/2019
Idioma:
Español
Se ha descubierto un problema de inyección de comandos autenticada en productos Raisecom ISCOM HT803G-U, HT803G-W, HT803G-1GE y HT803G GPON con firmware en versiones ISCOMHT803G-U_2.0.0_140521_R4.1.47.002 o anteriores. Los valores de los parámetros newpass y confpass en /bin/WebMGR se emplean en una llamada de sistema en el firmware. Debido a que no hay validación de entradas de usuario, esto conduce a la ejecución de código autenticado en el dispositivo.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/02/2023

Vulnerabilidad en productos Raisecom (CVE-2019-7384)
Fecha de publicación:
21/03/2019
Idioma:
Español
Se ha descubierto un problema de inyección de comandos autenticada en productos Raisecom ISCOM HT803G-U, HT803G-W, HT803G-1GE y HT803G GPON con firmware en versiones ISCOMHT803G-U_2.0.0_140521_R4.1.47.002 o anteriores. El valor del parámetro fmgpon_loid se emplea en una llamada del sistema dentro del binario boa. Debido a que no hay validación de entradas de usuario, esto conduce a la ejecución de código autenticado en el dispositivo.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/02/2023

Vulnerabilidad en Systrome Cumilon (CVE-2019-7383)
Fecha de publicación:
21/03/2019
Idioma:
Español
Se ha descubierto un problema en los dispositivos Systrome Cumilon ISG-600C, ISG-600H y ISG-800W con firmware V1.1-R2.1_TRUNK-20181105.bin. Ocurre una inyección de comandos shell al editar la descripción de un archivo ISP. El archivo network/isp/isp_update_edit.php no valida correctamente las entradas de usuario, lo que conduce a la inyección de comandos shell mediante el parámetro des.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/02/2023
Suscribirse a Vulnerabilidades